浅议内部审计风险及对策
一、内部审计风险的含义
(一)内部审计风险的定义
内部审计是指组织内部的一种独立客观的监督和评价活动,它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。企业内部审计风险是企业内部审计组织或人员在实施审计的过程中无意地对存在的重大错报或漏报的会计报表以及对具有重要影响的经营管理活动审计后发表的不恰当的审计结论,造成审计对象和与之相关方面遭受损失或损害,并由此引起审计主体承担这种责任的风险。对于经营管理审计来说,由于它是一种建设性更强的审计活动,其风险还包括对存在的妨碍企业有效运营的一系列内控缺失、效率低下、决策失误、舞弊欺诈等问题不能有效识别和恰当揭示,从而发表不恰当的审计意见和结论,给审计报告使用者带来损失和风险,而追究审计人员责任的可能性。
(二)内部审计风险的构成要素
内部审计不仅有财务会计审计,还有经济责任审计、营运管理审计、投资项目审计和专项审计等审计类别。内部审计风险同外部审计风险一样包括固有风险、控制风险和检查风险三个构成要素。其中固有风险是指假定不存在相关内部控制时,某一账户或交易类别单独或连同其他账户、交易类别产生重大错报或漏报的可能性,以及企业即使采取有效的内部控制措施,仍无法完全避免全部风险的客观性;控制风险是指某一账户或交易类别或连同其他账户、交易类别产生错报或漏报,而未能被内部控制防止、发现或纠正的可能性,以及企业业务流程存在缺陷导致舞弊、浪费和效率低下,而未能被有效识别、改善的可能性;检查风险是指某一账户或交易类别单独或连同其他账户、交易类别产生重大错报或漏报,以及企业业务流程存在重大缺陷而未能被实质性测试发现的可能性。
二、内部审计风险的成因
(一)内部审计的法律法规不健全、不完善
内部审计人员在进行内部审计工作时和外部审计一样,同样需要国家的政策法规作为其工作进行的主要依据,但相比外部审计,指导内审工作的各项经济法规政策和准则指南等都仍然处于逐步完善的过程中。而随着市场经济体制的发展,各种新情况、新问题不断出现,如法律法规不能及时与之配套完善,出现滞后现象,则使内审人员对有些问题难以认定,或者出现无法可依或依法错误的情形。在这种情况下,内部审计人员就只能过多地依靠自己的主观经验来对审计对象和内容进行判断,这在一定程度上影响了审计结论的权威性和正确性,也增大了内部审计的风险性。
(二)内部审计机构缺乏应有的独立性
内部审计机构是企业的内设机构,其独立性不如外部审计,在审计过程中,不可避免地受到企业管理层意志的影响。目前,由于很多企业的内审机构并非直接向董事会负责,而是向总经理负责,或者在财务总监的领导下工作,甚至有的企业内审机构从属于财务部门,这种机构设置使内部审计工作的独立性和客观性受到影响,很难以窄观、公允的立场对企业的财务状况和经营管理进行有效的监督和评价,提供出真实客观程度较高的且富有建设性意见的审计报告。
(三)企业管理人员对内部审计不够重视
内部审计产生的内在动因是基于管理和监控的需要,有些企业设立内部审计机构却是迫于行政命令的规定,而非出于自身经营管理的需要;有些企业管理层不明白内部审计的真正意义,没有意识到内部审计对企业内部控制实施、监督和评价的重要作用,将内部审计放在可有可无位置,没有把它有机地融人到企业的管理体系中,使其真正担负起管理、监控的双重责任,内部审计机构设置流于形式,内部审计人员地位边缘化,在企业管理活动中不受重视,这些都会影响内部审计工作的运行环境,使内部审计风险加大。
(四)企业经济活动的复杂性和隐蔽性
随着现代经济的发展,企业的经济活动形式越来越多样化,相应内部审计对象和内容也日益繁杂,内部审计业务范围从传统的财务会计审计向经济管理审计拓展,凡是对企业商业利益和持续经营有影响的管理因素都是内部管理审计的重要内容,审计领域的扩大对内部审计工作提出了更高的要求,审计人员做出正确结论的难度加大;同时,由于内部审计事项一般与企业生产经营活动密切相关,一些敏感事项涉及的人事关系复杂、舞弊手段隐蔽,内部审计人员发现和取证的难度较大,面临更大的责任和风险;另外,随着信息化程度的提高,企业会计信息资料和其他经营管理信息越来越多,形式种类也越来越丰富,同时与之相随的虚假、差错的会计和其他管理信息出现频率也越来越高。各种复杂的经济活动不但扩大了内部审计的范围和工作量,而且给建立在传统审计理论基础上的内部审计方法和程序带来了巨大的冲击,这无形中就增加了内部审计的责任和风险。
(五)内部审计人员的整体素质不高
现代内部审计是一项涉及面非常广泛的专业活动,不仅要求内审人员必须具备丰富的专业知识,包括会计、审计、经济管理、定量分析、内部控制的检查和评价、电子数据处理等方面的知识,还要求其必须拥有丰富的实践经验,具有敏锐的分析能力和较高的职业判断能力,此外内部审计人员还必须具备工作责任心和职业道德意识,审计人员素质的高低是决定审计风险大小的主观因素。目前,由于内部审计机构和审计人员普遍未受重视,同时我国内审准则、工作规范和职业道德标准仍存在相对滞后现象,许多内审机构和人员不能适应新形势下的内部审计发展要求,也缺乏应有的职业规范的约束和指导,内审人员自身素质的缺陷增加了审计风险。
(六)内部审计质量控制制度不健全
目前许多企业内部审计制度不完善,不少内部审计机构未制定质量控制制度来规范审计业务,对事前的审计计划、事中的审计程序和报告期的审计复核等环节没有制定相应的操作规范来约束和指导,没有根据风险测试结果来安排审计进度;审计工作底稿不完整,一般仅记录审计问题事项,而未记录审计人员认为正确的审计事项,使得审计复核、审计质量控制无从人手;出于成本效益原则等原因而放弃了对重要审计事项的进一步深入,导致风险加大;审计报告未严格执行分级复核制度,报告内容不严谨或质量不高。
(七)内部审计方法程序本身存在问题
目前,内部审计普遍采用的审计方法往往过分依赖于对企业内部管理控制的测试,使审计人员的注意力过度集中在被审计单位的内部控制上而忽视了审计风险产生的其他环节,蕴藏着很大的风险,尤其对于经营管理的审计,采用哪些审计程序和方法较难确定,如果选择不当,可能造成审计时间延长、成本增加,同时可能遗漏一些重要的审计内容。另外,过分强调成本效益原则,内部审计人员偏好选择成本较小的审计方法和程序,则在很大程度上影响了审计的效果。此外,抽样技术本身所固有的缺陷也会影响审计总体结果判断的准确性,如运用判断抽样时由于经验的原因导致判断失误。
三、内部审计风险的防范措施
(一)建立和完善与内部审计相关的一系列法律、法规和制度
为了能够适应现代内部审计不断发展的要求,加快内部审计相关的法制以及职业道德建设就显得尤为重要和迫切。目前,与国际会计准则趋同的新会计准则体系已趋于成熟,上市公司的内部控制基本规范也正式颁布执行,内部审计可以在参照和借鉴有关的准则、体系的基础上对自己的一系列准则和制度进一步修正和完善。完善的准则和制度可以统一内部审计职业规范,不但是审计效果的有力保障,而且往往能够引起富有成效的转变,促进内部审计理论与实务的共同发展,并与国际内部审计接轨,从而有效地降低内部审计风险。
(二)从组织形式上有效保证内审机构和人员的独立
《国际内部审计实务准则》规定:内部审计机构“必须独立于他们所需要审计的活动,以便不受约束,客观地开展工作”。要使内部审计有效地实现其职能,发挥其作用,必须设置专门的内部审计机构,独立于其他职能部门;设置专职的审计人员,不参与或负责其他职能部门的管理活动和业务活动,置身于具体的业务活动之外,不直接承担经营责任;要提高内审机构的直属管理层次,直属管理层次越高,其独立性越强;从管理体制上来保证审计机构人员在开展业务中的实质性独立,使审计机构能自主地选择审计项目,确定审计重点,编制审计计划,实施审计程序,完成审计报告。此外,为有效降低内审风险,必须严格界定会计责任、管理责任与内部审计责任,有效规避因责任划分不清而使内审人员遭受的风险。
(三)增强企业管理层的重视程度,充分发挥内部审计在管理中的作用
企业领导层要充分认识到内部审计在改善企业经营管理及提高经济效益方面的重要作用,在人员和经费上提供有力的支持,在企业内部树立起内部审计部门的权威性,应要求各有关部门尽力支持、配合内部审计部门的审计工作,使内部审计能顺畅进行。对内部审计报告提出的问题涉及部门应及时予以反馈,确定的整改要求要有计划的安排落实,并建立后续审计制度,根据被审计单位对审计报告中有关问题、审计意见的回应和目标完成时间进行跟踪检查,形成后续审计报告并提交企业管理层,由审计人员通过实施独立、客观、有效的审计行为,提出有建设性的改善管理控制、提高效率效益的意见,提高审计报告的质量,使企业管理层充分认识到内部审计的重要作用,对审计提出的意见予以充分重视,这将有利于防范和降低内部审计风险。
(四)深入了解企业状况,保持敏锐的职业质疑
内审人员应主动了解企业运营的内外环境,积极了解、参与组织的内部控制建设。关注企业各项主要活动的进展情况,对企业的业务流程和关键控制点进行认真的分析,积极掌握会计信息资料和其他经营管理信息。要加强对超越市场一般规律的业务现象进行研究分析,而不能仅对账载事项进行审计。在审计工作中运用应有的职业审慎,对出现故意做错、疏忽出错、效率低下、无效浪费和利益冲突的可能性有所警惕。能识别不恰当的控制系统和运作流程,有针对性地提出改进意见,以促进企业降低经营中的风险,实现成本控制和合理流程的建设。
(五)提高内部审计人员自身素质
一是要改变僵化的用人机制,选派那些具备相应的技术资格、业务能力的人员充实内审队伍;二是要内部审计机构还要建立健全内部激励约束制度,对内部审计人员的工作进行监督、考核,评价其工作业绩;三是还要加强对内审人员的后续教育,使他们熟练掌握审计的基本知识、基本技能和基本方法,熟悉会计、经济管理、经济法规等相关知识,提高内审人员的审计查证能力、审计沟通能力、审计协调能力及审计表达能力,以适应不断发展的新形势的需要。同时还要培养内审人员坚持实事求是、客观公正、廉洁奉公的职业道德,从而达到主动控制风险的目的。
(六)完善内部控制质量制度,规范审计业务流程
一是要坚持审计标准,提高审计报告的客观性和准确。内部审计人员应将审计程序的执行过程及收集和评价的审计证据,记录于审计工作底稿。审计工作底稿记录应完整,不仅记录审计问题事项,还要记录审计人员认为正确的审计事项,为下一步的复核和形成结论提供必要的准确的基础资料。二是要建立内部审计责任制度,强化复核工作。通过制定内部审计责任制度来明确审计人员的职责、权限,合理分工,避免责任相互推诿、漏审等弊病发生而形成审计风险。内部审计机构应建立审计报告分级复核的质量控制制度,明确规定各级复核的要求和责任,重点建立主审负责、审计底稿三级复核、审计项目质量考核等方面的制度,以把好每个审计项目的质量和风险关,减少或消除人为误差。
(七)改进内部审计方法,强化风险意识
一是重视信息系统的应用,优化内部审计技术方法。目前,ERP系统在各类企业得到广泛应用,给企业各项经营及管理流程带来了前所未有的变革影响,内部控制的一些原则和措施,如不相容职务分离、授权、复核和监督等,在ERP系统都能得到体现和实施。内部审计应适应现代信息技术的发展和要求,充分、有效地开发和利用计算机信息系统来提高审计效率和审计质量。二是推进风险基础审计模式,规避潜在风险。在审计方法上采用以风险为导向的风险基础审计模式。其重点是全面识别和评估被审计主体的风险状况,在审计准备阶段就开始考虑审计风险,并将审计风险与整个审计过程密切联系起来,以风险的分析与控制为出发点,以保证审计质量为前提,综合各种审计证据,来提高审计质量,控制审计风险。